インターフェイスについて
ヒント |
この項では、IPS インターフェイスの概要について説明します。アプライアンスおよびサービスモジュールの各タイプに関する特定のインターフェイスの名前と位置、サポートされているロール、設定上の制限、ハードウェアに関する考慮事項など、詳細な説明については、Cisco.com で、ご使用の IPS ソフトウェアバージョンの『Installing and Using Cisco Intrusion Prevention System Device Manager』の「Configuring Interfaces」の章を参照してください。この情報は、IME ガイドおよび CLI ガイドでも提供されています。全般情報については、http://www.cisco.com/go/ips を参照してください。 |
センサーのインターフェイスは、インターフェイスの最大速度および物理的な場所に従って名前が付けられています。たとえば、GigabitEthernet2/1 は、1 ギガビットの最大速度をサポートし、下から 2 番めの拡張スロットの右から 2 番めのインターフェイスです。
インターフェイスには、次の 3 つの役割があります。
-
コマンド/コントロール:コマンド/コントロール インターフェイスは、IP アドレスを持ち、センサーの設定に使用されます。このインターフェイスは、センサーからセキュリティ イベントとステータス イベントを受信し、センサーに統計情報を問い合わせます。
コマンド/制御インターフェイスは、常にイネーブルです。このインターフェイスは特定の物理インターフェイス(センサーのモデルによって異なる)に常時マッピングされています。コマンド/制御インターフェイスを検知インターフェイスや代替 TCP リセット インターフェイスとして使用することはできません。デバイス タイプ別のコマンド/コントロール インターフェイスのリストについては、上記の IPS マニュアルを参照してください。
-
検知:検知インターフェイスは、セキュリティ違反に関してトラフィックを分析するために、センサーによって使用されます。センサーには、1 つ以上の検知インターフェイスがあり、その数はセンサーによって異なります。検知インターフェイスは、無差別モードで個別に動作させるか、またはペアにしてインライン インターフェイスを作成できます。無差別モードでは、パケットはセンサーを通過しません。センサーは、モニタ対象トラフィックのコピーを分析します。インライン モードでは、IPS はトラフィック フローに挿入され、トラフィックに直接影響を与えます。検知モードの詳細については、インターフェイス モードについてを参照してください。
(注) |
アプライアンスでは、すべての検知インターフェイスがデフォルトでディセーブルになっています。これらのインターフェイスを使用するには、イネーブルにする必要があります。モジュールでは、検知インターフェイスは常にイネーブルです。デバイス タイプ別の検知インターフェイスのリストについては、上記の IPS マニュアルを参照してください。 |
-
代替 TCP リセット:攻撃者のホストと攻撃のターゲットホストとの間のネットワーク接続をリセットするために、TCP リセットパケットを送信するようにセンサーを設定できます。一部のインストールでは、インターフェイスが無差別モードで動作している場合、攻撃が検出された検知インターフェイスと同じインターフェイスでセンサーが TCP リセット パケットを送信できないことがあります。このような場合は、検知インターフェイスを代替 TCP リセット インターフェイスに関連付けることができます。これにより、無差別モードで動作している場合に通常は検知インターフェイスで送信されるすべての TCP リセットを、関連付けた代替 TCP リセット インターフェイスで送信できます。
検知インターフェイスが代替 TCP リセット インターフェイスに関連付けられている場合、その関連付けは、センサーが無差別モードに設定されている場合は適用されますが、検知インターフェイスがインライン モード(インターフェイスまたは VLAN ペア)に設定されている場合は無視されます。TCP リセットは、これらのモードの検知インターフェイスで常に送信されるためです。
(注) |
IDSM-2 を除いて、すべての検知インターフェイスは、別の検知インターフェイスの代替 TCP リセット インターフェイスとなることができます。IDSM-2 の代替 TCP リセット インターフェイスは、ハードウェアの制限があるために固定されています。ただし、(ルータまたは ASA デバイス上の)IPS モジュールに存在する検知インターフェイスは 1 つだけであるため、IPS モジュールでは代替 TCP リセット インターフェイスを指定できません。デバイス タイプ別の適格な代替 TCP リセット インターフェイスのリスト、および代替 TCP リセット インターフェイスを使用する状況の詳細については、上記の IPS マニュアルを参照してください。 |